Zukunftsthema Handy-Security

Ende Juli entdeckte ein US-IT-Sicherheitsunternehmen eine Lücke im populären Apple iPhone, über die sich das Handy von Angreifern fernsteuern lässt. Der Angriffspunkt lag in der mobilen Version des Browsers Safari, der auf dem Gerät läuft. "Das ist ein gutes Beispiel dafür, dass Fehler in PC-Programmen ähnlich auch auf Mobiltelefonen auftreten können", meint David Wagner, Professor für Informatik an der University of California in Berkeley.

So genannte Handy-Viren existieren jedoch schon seit fast einem Jahrzehnt. Doch ein echtes Gefahrenpotenzial entwickeln sie nur seit Kurzem. Der Grund: Erst jetzt besitzen die meisten Mobiltelefone genügend Leistung und Komplexität, veritable Angriffsziele zu sein. "Der Hauptgrund liegt darin, dass aus Handys immer öfter Miniatur-Rechner werden. In der Konsequenz heißt das, dass dort ähnliche Probleme auftreten werden, wie wir sie von Desktop-Rechnern kennen", sagt Wagner.

Ein Schutz ist aber durchaus möglich – ähnlich wie auf Schreibtisch-PCs lassen sich auch auf Handys Anti-Viren-Programme nutzen, die bereits angeboten werden. Mit der Mobilität der Geräte ergeben sich aber auch ganz neue Probleme: Sie lassen sich leicht verlieren oder stehlen und besitzen zumeist gleich mehrere Zugriffsmethoden als Angriffspunkt – das Mobilnetz, den Nahbereichsfunk Bluetooth und zunehmend auch das drahtlose Internet nach dem WLAN-Standard. Dank eingeschränkter Batterieleistung und Prozessor-Geschwindigkeit ist es allerdings nicht einfach, parallel zu den eigentlichen Mobilfunkanwendungen gut funktionierende Sicherheitsprogramme auszuführen. Forscher beginnen erst jetzt, entsprechende Ansätze zu entwickeln, die all diese Restriktionen einbeziehen.

Anti-Viren-Spezialisten wie Symantec, McAfee und Sophos bieten derzeit noch Produkte an, die ähnlich wie ihre PC-Brüder funktionieren. Anand Raghunathan, Forscher bei den NEC Laboratories America, sieht hier bereits Ansätze, Strom zu sparen – die Produkte seien normalerweise so ausgelegt, dass sie auch auf langsameren Geräten arbeiten. Das bedinge aber auch eine Einschränkung der Funktionalität.

In einigen Fällen lässt sich das Problem umgehen, in dem die Sicherheitsinfrastruktur bereits im Mobilnetz integriert wird. Laut Raghunathan erfolgt dies schon jetzt bei einigen Providern, die den Datenverkehr nach Signaturen bekannter Viren absuchen. So soll verhindert werden, dass Schadprogramme das Handy überhaupt erst erreichen.

Raghunathan ist allerdings skeptisch, dass Sicherheitssoftware ausreicht, um Handys zu schützen. "Die nächste Generation von Lösungen wird Hardware-basierte Sicherheit sein, direkt eingebaut im Handy." Solche Ansätze könnten zwar Lücken in Software nicht verhindern, aber die Konsequenzen aus ihnen ganz sicher abmildern.

Eine solche Hardware bestünde aus einem zusätzlichen Prozessor und etwas Speicher, die für eine spezifische Aufgabe hart verdrahtet sind. Das Handy würde so in zwei Umgebungen unterteilt – eine, auf die der Nutzer Zugriff hat und in der alle Anwendungen stecken sowie einen Bereich, der von Viren und Schadsoftware nicht zu erreichen ist. Passwörter und andere kritische Informationen würden darin gespeichert. Holt man sich dann Viren auf das Handy, kommen diese nicht an die wichtigen Daten heran. Auch im Fall von Diebstahl oder Verlust wäre dies praktisch, weil der Netzbetreiber über das Netz auf die sichere Umgebung zugreifen könnte, um das Handy zu blockieren. So hätte kein Dritter mehr Zugriff auf die im Gerät enthaltenen Nachrichten und Bilder.

Handys mit Hardware-Sicherheit sind bislang für Endkunden noch nicht erhältlich. Raghunathan erwartet erste Geräte aber innerhalb des nächsten Jahres. Zu den treibenden Kräften der Technologie gehört die Trusted Computing Group, ein Konsortium aus Firmen wie Intel, Microsoft, IBM und Hewlett-Packard. Eines der Ziele der Organisation sind neben sichereren PCs auch Hardware-Security-Standards für Handys.

Trotz der Vorteile, die solche Ansätze bieten, gibt es jedoch auch negative Stimmen. So ist unklar, wer letztlich Zugriff auf die Hardware haben soll. Netzbürgerrechtler wie die Electronic Frontier Foundation (EFF) argumentieren, dass mit "Trusted Computing" auch eine geringere Kontrolle über die eigenen Geräte einhergeht – und Software- und Inhalteanbieter die Rechner "abschließen" könnten. So könnte eine solche Plattform genutzt werden, mit digitalem Rechtemanagement versehene Videos oder Musikstücke nachträglich zurückzuziehen.

Experten glauben zudem, dass sich schon allein mit Software einiges erreichen lässt. Dazu müsste aber bei der Entwicklung die Frage der Sicherheit von vorneherein einbezogen werden. Nur so lassen sich Lücken und Viren besser kontrollieren. Das kostet allerdings Geld – und da Sicherheit eine Funktion ist, die man dem Kunden anscheinend nicht so gut verkaufen kann, wie etwa mehr Pixel in der eingebauten Kamera, wird oft zu spät über das Thema nachgedacht. "Das Versagen der Hersteller liegt vor allem darin, dass sie nicht die Lektion des PCs gelernt haben und bessere Betriebssysteme entwickelten", meint Steven Bellovin, Professor für Informatik an der New Yorker Columbia University. "Sie waren schließlich gewarnt."

Trotz allem halten sich Viren- und Schadcode-Attacken auf Mobiltelefonen noch in Grenzen. Einer der Gründe dafür könnte darin liegen, dass der Markt in verschiedene Netzbetreiber mit unterschiedlichen Software- und Hardware-Plattformen unterteilt ist, wie Richard Ford, Computerwissenschaftler am Florida Institute of Technology, meint. Damit Viren wirklich funktionieren, müssten sie in verschiedenen Varianten vorliegen, um tatsächlich auf allen Handys Schaden anrichten zu können. Im Gegensatz zu PC-Betriebssystemen gibt es nämlich noch kein Hauptziel für Angreifer – auch das iPhone ist dies nicht, trotz der (inzwischen übrigens geschlossenen) Browser-Sicherheitslücke. "Hoffentlich bleibt es im nächsten Jahr ruhig", meint Ford. In den nächsten drei bis fünf Jahren sei dann ein großer Mobilviren-Ausbruch unausweichlich. (bsc)